Un peu de contexte

La criminalité

La plupart des systèmes d'identité numérique actuellement utilisés sont exclusifs, insuffisamment sécurisés et fragmentés, même si des fournisseurs de services aident à contrôler les systèmes d'identité numérique et leurs données respectives. Ces systèmes centralisés sont souvent sujets aux atteintes à la vie privée et aux cyberattaques, entraînant le vol et l'utilisation abusive d'informations personnelles. Et il faut dire que les utilisateurs ont du mal à contrôler leurs identités numériques et à révoquer l'accès si nécessaire. Selon PurpleSec, les cybercrimes touchent 71,1 millions de personnes chaque année, avec une perte individuelle moyenne de 4 476 $. L'extorsion, le vol d'identité et les violations de données personnelles étaient les 3 principaux cybercrimes en 2021.

L’inaccessibilité

Environ 1,1 milliard de personnes dans le monde n'ont aucune preuve d'identité, et 45% des personnes sans identité font partie des 20% les plus pauvres de la planète. La lourdeur des formalités d'identification, les dépenses, le manque d'accès et le simple manque de connaissances sur l'identité personnelle sont les principaux obstacles qui maintiennent plus d'un milliard d'individus en dehors des systèmes d'identification traditionnels. Sans identité physique, on ne peut pas s'inscrire à l'école, postuler à un emploi, obtenir un passeport ou accéder à de nombreux services gouvernementaux. Avoir une identité est crucial pour accéder au système financier existant. À l'inverse, 60 % des 2,7 milliards de personnes non bancarisées possèdent déjà un téléphone mobile, ce qui ouvre la voie à des solutions d'identité mobile basées sur la blockchain qui répondent mieux aux besoins des citoyens vulnérables.

Identité numérique décentralisée ? Késako ?

L'identité décentralisée est un système innovant de gestion de l'identité qui permet aux utilisateurs de contrôler leur propre identité numérique sans dépendre intégralement d'un fournisseur de services tiers. Ce système est basé sur trois éléments clés : la blockchain, les informations d'identification vérifiées (VC – Verifiable Credentials) et les identifiants décentralisés (DID).

Les identifiants décentralisés (DID)

Les DID représentent le fondement de l'identité décentralisée. Ils permettent une identité numérique vérifiable et décentralisable, avec un contrôleur qui peut apporter des modifications à un document DID. Cette fonctionnalité signifie que les utilisateurs peuvent contrôler leur propre identité sans avoir à dépendre intégralement d'un tiers de confiance. Je m’explique.

Un identifiant décentralisé (DID) est un identifiant pseudo chiffré (exemple : “Zonebourse:exemple:123456789abcdefghi”) d'une personne, d'une entreprise, d'un objet, d’un certificat, etc. Chaque DID est sécurisé par une clé privée cryptographique. Seul le propriétaire de la clé privée peut prouver qu'il possède ou contrôle son identité. Une personne peut avoir plusieurs DID, ce qui limite la mesure dans laquelle elle peut être suivie à travers les multiples activités de sa vie. Par exemple, une personne peut avoir un DID associé à une plate-forme de jeux vidéo et un autre DID entièrement distinct associé à sa plate-forme d'évaluation de crédit.

Un DID pourrait être utile pour :

- Vos intérêts personnels, comme vous connecter à des sites d'achat ou montrer que vous avez l'âge légal pour acheter du vin.

- Accéder à différentes applications et services liés aux cryptomonnaies qui ont besoin de vérifier votre identité pour vos activités de trading et d'investissement.

A l'heure actuelle, de nombreuses personnes utilisent LinkedIn pour montrer leur expérience et leurs informations professionnelles. Mais comme ils ne veulent pas que les employeurs voient leurs photos et intérêts personnels, ils créent un profil Facebook distinct qui a un objectif tout autre. Un DID est similaire dans le sens que vous pouvez créer différents profils à des fins différentes.

Chaque DID est souvent associé à une série d'attestations (informations d'identification vérifiables) qui attestent des caractéristiques spécifiques de ce DID (par exemple, lieu, âge, diplômes, fiches de paie). Ces informations d'identification sont signées cryptographiquement par leurs émetteurs (employeur, gouvernement, université…), ce qui permet aux propriétaires de DID de stocker eux-mêmes ces informations d'identification dans un « portefeuille d’identité » au lieu de s'appuyer sur un seul fournisseur de profil (par exemple, Google, Facebook). Ces informations d’identification vérifiables sont appelées les Verifiable Credentials.

Les Verifiable Credentials

Les VC (informations d'identification vérifiées par l’employeur, gouvernement, université etc) sont une autre partie importante de l'identité décentralisée. L’objectif est de garantir à un service, la validité d’une information émise par une source de confiance. L’architecture proposée permet de sécuriser les attestations grâce à la cryptographie, dans le respect de la vie privée et en les rendant vérifiables numériquement. Ce sont des attestations émises pour un DID par d'autres DID, certifiant des aspects tels que l'âge, un diplôme ou l’adresse. Les VC offrent une solution alternative pour la vérification des informations d'identité, sans avoir à dépendre d'un tiers pour stocker ces informations.

Verifiable Credential
CMS Crypto

Un déploiement sur une blockchain décentralisée

Lorsque des données sont enregistrées sur une blockchain publique, leur intégrité est assurée par les nœuds (logiciel qui peut être installé par un particulier, une entreprise ou une organisation pour vérifier l’authenticité des transactions) qui maintiennent le réseau. Ces nœuds valident les différentes transactions et enregistrements réalisés par les utilisateurs. Chaque noeud du réseau dispose d’une copie du registre de la blockchain. Plus les noeuds sont nombreux, plus le réseau est décentralisé et donc, plus l’intégrité et la disponibilité des données sont assurés. La décentralisation des noeuds ainsi que le mode de gouvernance du protocole de la blockchain utilisée sont primordiaux pour garantir la sécurité des données et fournir un niveau de confiance suffisant.

Une blockchain publique, si son réseau est assez développé, peut fournir un niveau de décentralisation et de confiance maximal. Les différents noeuds du réseau peuvent être contrôlés par n’importe quelle personne et respectent (par définition) les règles définies par le protocole. Personne n’a le pouvoir de modifier les règles ou d’arrêter le réseau.

Prenons deux exemples pour imager les explications susmentionnées

Exemple 1 : On peut imaginer un DID sur une blockchain comme un portefeuille physique qui contiendrait vos informations personnelles et serait verrouillé à l'aide d'une clé privée que vous contrôlez. De la même manière qu'un portefeuille physique ne peut être ouvert que par son propriétaire avec la clé, les informations sur votre identité numérique ne peuvent être accédées que par ceux à qui vous avez donné l'autorisation en utilisant votre clé privée. La différence avec un portefeuille physique est que les informations sont stockées sur une blockchain décentralisée en lieu sûr, ce qui les rend plus difficiles à pirater ou à manipuler par des tiers non autorisés.

Exemple 2 : On peut également imaginer un DID sur une blockchain comme un passeport numérique, où les informations sur votre identité sont stockées sur la blockchain au lieu d'être imprimées sur du papier. De la même manière qu'un passeport est reconnu comme une preuve d'identité valable par les gouvernements et les institutions, un DID sur une blockchain peut être utilisé pour prouver votre identité numérique. Tout comme un passeport est sécurisé par des mesures de protection telles que les signatures et les timbres, un DID sur une blockchain est sécurisé par la cryptographie et le consensus décentralisé de la blockchain. Et comme pour un passeport, vous contrôlez les informations qui sont partagées et avec qui elles sont partagées en donnant ou refusant l'accès à des requérants en fonction de votre niveau de confiance.

En résumé, l'identité décentralisée offre aux utilisateurs un contrôle total sur leur identité numérique, sans avoir à dépendre d'un tiers. Les DID, les portefeuilles d'identité et les VC jouent tous un rôle clé dans ce système innovant, permettant aux utilisateurs de contrôler et de vérifier leur identité en ligne de manière autonome et sécurisée. Les éléments essentiels de la gestion d'une identité décentralisée : 

  1. Blockchain : Une base de données décentralisée partagée entre les ordinateurs du réseau blockchain qui enregistre les informations d'une manière qui rend très difficile la modification, le piratage ou la tricherie du système.
  1. Portefeuille d'identité décentralisé : Une application qui permet aux utilisateurs de créer leurs identifiants décentralisés et de gérer leurs justificatifs vérifiables.

  2. Identifiant décentralisé (DID) : Un identifiant unique sur la blockchain composé d'une chaîne de lettres et de chiffres qui contient des détails comme la clé publique et les informations de vérification.

  3. Identifiant vérifiable (VC) : Une version numérique et cryptographiquement sécurisée des justificatifs papier et numériques que les personnes peuvent présenter aux organisations qui en ont besoin pour vérification. Ce sont les principales parties du système VC :
  • Titulaire : Un utilisateur qui crée son identifiant décentralisé à l'aide d'une application de portefeuille numérique et qui reçoit la carte d'identité vérifiable.
  • Émetteur : L'organisation qui signe une carte de crédit vérifiable avec sa clé privée et la délivre au titulaire.
  • Vérificateur : Une partie qui vérifie les informations d'identification et peut lire le DID public de l'émetteur sur la blockchain pour vérifier si l'identifiant vérifiable partagé par le détenteur a été signé par le DID de l'émetteur.
MyMid - Medium

Les solutions d'identité numérique de la blockchain surmontent les limites des systèmes d'identité actuels, telles que l'inaccessibilité, l'insécurité des données et la fraude. L'identité numérique décentralisée a plusieurs cas d'utilisation, notamment :

  • Identité auto-souveraine : stockage des données d'identité des individus et des organisations sur leurs propres appareils – portefeuille d’identité crypté. Cela leur permet de sélectionner les éléments d'information qui peuvent être partagés avec les validateurs sans dépendre du référentiel central de données d'identité. Cela permet de créer une identité numérique indépendante des entreprises.

  • Monétisation des données (l'utilisation des données personnelles pour obtenir un avantage financier quantifiable) : par exemple, la propriété des données par des individus et des organisations peut leur permettre de bénéficier financièrement de leur location à des algorithmes liés à l'intelligence artificielle ou de la vente d'informations personnelles à des annonceurs. Les utilisateurs peuvent également choisir de masquer leurs données et de les protéger des entreprises.

  • Portabilité des données : conformément à l'article 20 du règlement général sur la protection des données de l'Union européenne, les utilisateurs ont droit à la portabilité des données. Cela implique que la personne concernée a le droit de faire transférer ses données personnelles directement entre les responsables du traitement chaque fois que cela est techniquement possible. Ce droit peut améliorer l'expérience utilisateur, en éliminant la nécessité de revérifier l'identité de la personne concernée sur différentes plateformes et services. La portabilité des données peut également augmenter l'adoption par les utilisateurs, car elle minimise les frictions lorsque les clients doivent collecter des données auprès de différents fournisseurs. Cela simplifie également le processus d'inscription des clients. Ceci est particulièrement utile pour réduire le temps d'intégration des clients, ce qui réduit les coûts et les taux d'abandon, en particulier dans le secteur financier.

Les inconvénients et conclusion

En alliant les technologies de la blockchain, et principalement la cryptographie, la gestion décentralisée des identités permettent un meilleur contrôle, sécurité et confidentialité des données sensibles. En revanche, bien que plusieurs sociétés développent des produits et services liées à ces enjeux (Synaps en France par exemple), le faible niveau d’adoption, le manque de réglementation, le risque de sécurité des contrats intelligents et de l’interopérabilité des ponts inter-blockchains ne permettent pas encore une démocratisation sans risque des DID.

Il ne faut pas oublier que le concept d’identité auto-souveraine redonne du contrôle aux utilisateurs, mais leur donne aussi de nouvelles responsabilités. Ils doivent être en mesure de gérer leur identité numérique et les données transmises aux services. La perte de la clé privée permettant d’accéder et de contrôler son profil peut être irrémédiable. Il faut donc que le système soit simple pour qu’un utilisateur lambda puisse le comprendre et l’utiliser ; la complexité technique doit être invisible. Pour l'instant le niveau de technicité demandé à l'utilisateur lambda ne permet pas non plus une adoption de masse. 

Mais nous avons fort à parier qu’une fois que l’innovation permettra une sécurité sans faille et qu’une réglementation adéquate se profile, la gestion de notre identité demain répondra davantage aux préoccupations sociales, économiques et financières d’aujourd’hui.